Posts

有事情要办，回了趟学校，学校感觉很不错，在学校生活应该很舒服，当然要有钱才行。 我的身份证还是学校办的那个，进校门要查证件，我亮出身份证就可以了，呵呵 事情办完了，也算了结了吧，真折腾！ 来回的火车上，陪伴我的是我的SONY PRS 505, 看了三四部侦探小说，这个东西就是和在火车上用来打发时间。 ...

绝望主妇s6e10,今年的最后一集了，这也是追着看了三年的剧集了。 这几个主妇越来越不好玩了.

关于shell中的eval 对于命令注入后，一条命令可能需要的字符大概有这几个吧 $ ' " ; && || [ ] ` > <; 可以看到是很多的，所以黑名单过滤的方法肯定是有问题的,因为是肯可能绕过去的。 加入对所有GET, POST的参数都用了htmlspecialchars做了处理，那么所有的< > 都会被转义成html字符 那么就没办法使用重定向符号了吗？ 参考下下面的利用eval来使用管道符号 The shell takes care of pipes and I/O redirection before variable substitution, so it never recognizes the pipe symbol inside pipe. The result is that the three arguments |, wc, and -l are passed to ls as arguments. ...

几篇很不错的文章 1 易用的界面，简单的一步 2 主次分明 3 每日构建（daily build）是你的朋友 4 第四战略篇：膨胀软件与80/20的谣传 5 行进中开火 6 看起来简单， 实际上复杂 7 给计算机系学生的建议 8 轻松面试找到理想员工－非官方的面试技术指南 9 The Joel Test: 软件开发成功 12 法则 10 《微独立软件供应商：从理想到现实》序 11 抽象渗漏法则 原文：Joel on software ...

ubuntu下去除开机的服务，如果安装了apache，mysql开发用，可以去掉，使用的时候再打开。 find /etc/rc*.d/ -name \*apache2 -exec rm {} \; #Or: sudo update-rc.d -f apache2 remove

翻译 当孩子还是孩子时， 他总爱问， 为什么我只是我， 而不是你？ 阳光下的生命， 难道不是梦吗？ 当孩子还是孩子时， 他只看到苹果和面包， 他以为那就是他最大的快乐， 长大后， 快乐越来越少了， 只有在工作之后才有快乐的片刻； 当孩子只是孩子时， 糖果就是糖果， 就是这样， 在核桃树下， 他张开手，非常激动， 他总是等待着； 朝一棵树扔一个树枝， 就像扔火箭一样… 爱情来也 我们沉醉在爱情中 缠绵悱恻 爱，既在漆黑的夜晚 也在朗朗的白昼 此刻更如火如荼 谁主谁从？ 我中有她，她中有我 世人谁敢称从未与人相爱？ 我正沐浴在爱河中 人类无法长生不老 此情此景却可万古长存 那一晚我知道什么叫惊讶 她飘然而至，带我归家 我终于找到归宿 姻缘际会 际会唯此一回，此爱却天长地久 此情此景，至死方休 我将与之生死相随 我们俩的故事曲折奇异 男女相爱的力量终令我由神变人 我… 终于… 知道… 作为… 天使… 所不了解的… 事 另一个翻译版本 ...

A.I 中的一段台词的原文. Where dips the rocky highland Of Sleuth Wood in the lake, There lies a leafy island Where flapping herons wake The drowsy water-rats; There we’ve hid our faery vats, Full of berries And of the reddest stolen cherries. Come away, O human child! To the waters and the wild With a faery, hand in hand, For the world’s more full of weeping than you can understand. Where the wave of moonlight glosses The dim grey sands with light, Far off by furthest Rosses We foot it all the night, Weaving olden dances, Mingling hands and mingling glances Till the moon has taken flight; To and fro we leap And chase the frothy bubbles, While the world is full of troubles And is anxious in its sleep. Come away, O human child! To the waters and the wild With a faery, hand in hand, For the world’s more full of weeping than you can understand. Where the wandering water gushes From the hills above Glen-Car, In pools among the rushes That scarce could bathe a star, We seek for slumbering trout And whispering in their ears Give them unquiet dreams; Leaning softly out From ferns that drop their tears Over the young streams Come away, O human child! To the waters and the wild With a faery, hand in hand, For the world’s more full of weeping than you can understand. Away with us he’s going, The solemn eyed: He’ll hear no more the lowing Of the calves on the warm hillside Or the kettle on the hob Sing peace into his breast, Or see the brown mice bob Round and round the oatmeal-chest. For he comes, the human child! To the waters and the wild With a faery, hand in hand, From a world more full of weeping than he can understand. ...

《神探阿蒙》(Monk)结束了,总共8季，最后一集是s8e16 结局算是圆满了，最后介绍了每个人的归宿，monk查到了朱迪的死因，两个活宝警察也有了爱人、助手也找到了归宿，monk精神状态也变好了，看来是真的要说再见了。 上次也追着看几年的美剧结束，那还是《越狱》，当然越狱没什么遗憾的，早就盼着它结束，monk不同，这种一集一个故事的剧集，不会因为圆不上以前挖的坑而让人火大，错过一两集没看，也没啥问题，很适合长期的播下去 ...

在100个最佳网络安全工具里找了下，排12的是个Nikto,也是[10个最佳web扫描器](http://sectools.org/web- scanners.html)里排第一个的，装了试一下，挺不错 wang@wang-laptop:~$ sudo apt install nokto wang@wang-laptop:~$ nikto -Help Options: -config+ use this config file -Cgidirs+ scan these CGI dirs: 'none', 'all', or values like "/cgi/ /cgi-a/" -Display+ turn on/off display outputs: 1 Show redirects 2 Show cookies received 3 Show all 200/OK responses 4 Show URLs which require authentication D Debug Output V Verbose Output -dbcheck check database and other key files for syntax errors (cannot be abbreviated) -evasion+ ids evasion technique: 1 Random URI encoding (non-UTF8) 2 Directory self-reference (/./) 3 Premature URL ending 4 Prepend long random string 5 Fake parameter 6 TAB as request spacer 7 Change the case of the URL 8 Use Windows directory separator (\) -findonly find http(s) ports only, don't perform a full scan -Format+ save file (-o) format: htm HTML Format csv Comma-separated-value txt Plain text (default if not specified) xml XML Format -host+ target host -Help Extended help information -id+ host authentication to use, format is userid:password -mutate+ Guess additional file names: 1 Test all files with all root directories 2 Guess for password file names 3 Enumerate user names via Apache (/~user type requests) 4 Enumerate user names via cgiwrap (/cgi-bin/cgiwrap/~user type requests) -nolookup skip name lookup -output+ write output to this file -port+ port to use (default 80) -Pause+ pause between tests (seconds) -root+ prepend root value to all requests, format is /directory -ssl force ssl mode on port -Single Single request mode -timeout+ timeout (default 2 seconds) -Tuning+ scan tuning: 0 File Upload 1 Interesting File / Seen in logs 2 Misconfiguration / Default File 3 Information Disclosure 4 Injection (XSS/Script/HTML) 5 Remote File Retrieval - Inside Web Root 6 Denial of Service 7 Remote File Retrieval - Server Wide 8 Command Execution / Remote Shell 9 SQL Injection a Authentication Bypass b Software Identification c Remote Source Inclusion x Reverse Tuning Options (i.e., include all except specified) -useproxy use the proxy defined in config.txt -update update databases and plugins from cirt.net (cannot be abbreviated) -Version print plugin and database versions -vhost+ virtual host (for Host header) + requires a value 试着扫了下自己的笔记本，发现还是扫到很有意思的东西 环境： ubuntu9.10 + apache2（默认配置） 居然有这么个地址 http://localhost/server-status 记录的是apache运行状态。 ...

shell参数中单引号如何表示呢？ 存在一个程序notsobad,它接受一个参数中含有单引号，怎么写呢？ # 双引号引起来 echo "'" ./notsobad -a xxx -b "'" # Or,注意参数中的单引号写法，实际上是 '\'' ./notsobad -a xxx -b ''\''' echo ''\''' 在shell参数中包含｀（反引号）字符，如何做呢？ # Wrong! # 反引号会先被shell截获解释，替换为反引号内部命令的执行结果 # 实际上产给notsobad的是id这个命令的输出，而不是命令本身 ./notsobad -b "`id`" # Right! echo '`id`' ./notsobad -b '`id`'